國家檔案局
2013年7月
目 錄
1.工作背景 2
2.適用范圍 2
3.編制依據(jù) 2
4.檔案信息系統(tǒng)類型的劃分 3
5.檔案信息系統(tǒng)的定級 4
5.1檔案信息系統(tǒng)的定級原則 4
5.2檔案信息系統(tǒng)安全保護等級的劃分 5
5.2.1受侵害客體 5
5.2.2對客體侵害程度的劃分 5
5.2.3檔案信息系統(tǒng)安全等級的劃分 6
5.3檔案信息系統(tǒng)安全保護等級確定的方法 6
5.3.1確定定級對象 7
5.3.2確定受侵害的客體 7
5.3.3確定對客體的侵害程度 7
5.3.4確定檔案信息系統(tǒng)的安全保護等級 8
5.3.5編制定級報告 10
6.評審 10
7.備案與報備 11
8.等級變更 11
附錄1《信息系統(tǒng)安全等級保護定級報告》模版 12
附錄2《信息系統(tǒng)安全等級保護備案表》 14
1. 工作背景
1994年國務(wù)院頒布的《中華人民共和國計算機信息系統(tǒng)安全保護條例》規(guī)定,,計算機信息系統(tǒng)實行安全等級保護,,公安部主管全國計算機信息系統(tǒng)安全保護工作,。近年來,,公安部會同有關(guān)部門組織制訂了一系列有關(guān)計算機信息系統(tǒng)安全等級保護的規(guī)章和標(biāo)準(zhǔn),,加強了對重點行業(yè)信息系統(tǒng)安全等級保護工作的監(jiān)督,、檢查和指導(dǎo),,并于2011年建立了54個行業(yè)主管部門參加的等級保護聯(lián)絡(luò)員制度,,檔案行業(yè)為其中之一。
隨著檔案信息化進程的不斷加快,,檔案部門通過檔案信息系統(tǒng)管理的數(shù)字檔案資源越來越多,,提高檔案信息系統(tǒng)的安全防護能力和水平,已經(jīng)成為加強檔案信息安全管理,、促進檔案事業(yè)健康發(fā)展的一項重要內(nèi)容,。為做好檔案信息系統(tǒng)安全等級保護工作,國家檔案局編制《檔案信息系統(tǒng)安全等級保護定級工作指南》(以下簡稱《指南》),,以指導(dǎo)檔案信息系統(tǒng)安全等級保護的定級工作。
2. 適用范圍
本《指南》是檔案信息系統(tǒng)安全等級保護定級工作的操作規(guī)范,,適用于省級(含計劃單列市,、副省級市,下同)及以上檔案行政管理部門及國家綜合檔案館非涉密信息系統(tǒng)安全等級保護定級工作,。地市級檔案局館和其他檔案館可參照執(zhí)行,。
3. 編制依據(jù)
本《指南》的編制主要依據(jù)以下標(biāo)準(zhǔn),、規(guī)范:
●《中華人民共和國計算機信息系統(tǒng)安全保護條例》(國務(wù)院147號令)
●《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》(中辦發(fā)〔2003〕27號)
●《關(guān)于信息安全等級保護工作的實施意見》(公通字〔2004〕66號)
●《信息安全等級保護管理辦法》(公通字〔2007〕43號)
●《關(guān)于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知》(公信安〔2007〕861號)
●《數(shù)字檔案館建設(shè)指南》(檔辦〔2010〕116號)
●《各級國家檔案館館藏檔案解密和劃分控制使用范圍的暫行規(guī)定》(國家檔案局、國家保密局1992年)
●《計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則》(GB 17859—1999)
●《信息安全技術(shù) 信息安全事件分類分級指南》(GB/Z 20986—2007)
●《信息安全技術(shù) 信息系統(tǒng)安全等級保護定級指南》(GB/T 22240—2008)
●《信息安全技術(shù) 信息系統(tǒng)安全等級保護基本要求》(GB/T 22239—2008)
4. 檔案信息系統(tǒng)類型的劃分
檔案信息系統(tǒng)是指開展檔案業(yè)務(wù)所使用的檔案信息管理系統(tǒng),、檔案信息服務(wù)系統(tǒng)和檔案辦公系統(tǒng)等三類信息管理系統(tǒng),。
(1)檔案信息管理系統(tǒng)類包括檔案目錄管理系統(tǒng),、數(shù)字檔案接收系統(tǒng),、數(shù)字檔案管理系統(tǒng)、檔案數(shù)字化加工系統(tǒng)等,;
?。?)檔案信息服務(wù)系統(tǒng)類包括檔案利用服務(wù)系統(tǒng)、檔案網(wǎng)站系統(tǒng)等,;
?。?)檔案辦公系統(tǒng)類包括承擔(dān)檔案工作管理的檔案局館辦公業(yè)務(wù)系統(tǒng)等。
檔案信息系統(tǒng)的基本功能描述如表1,。
表1 檔案信息系統(tǒng)基本功能描述
|
統(tǒng)類別
|
系統(tǒng)名稱
|
管理對象
|
網(wǎng)絡(luò)環(huán)境
|
基本功能
|
|
檔案信息管理系統(tǒng)
|
檔案目錄管理系統(tǒng)
|
案卷級目錄,、文件級目錄、專題目錄等
|
局域網(wǎng)
|
目錄數(shù)據(jù)采集,、整理,、檢索、統(tǒng)計等
|
|
數(shù)字檔案接收系統(tǒng)
|
數(shù)字檔案接收工作
|
局域網(wǎng)
政務(wù)外網(wǎng)
|
檔案接收,、業(yè)務(wù)指導(dǎo),,檔案數(shù)量、質(zhì)量檢查,,交接手續(xù)辦理等
|
|
數(shù)字檔案管理系統(tǒng)
|
館藏檔案數(shù)字化成果,、接收進館的電子檔案、采集接收的數(shù)字信息資源等
|
局域網(wǎng)
政務(wù)外網(wǎng)
|
數(shù)字檔案資源的接收,、導(dǎo)入,、整理、鑒定,、審計,、統(tǒng)計和長期保存等,部分系統(tǒng)同時具有檔案目錄管理,、利用服務(wù)等功能
|
|
檔案數(shù)字化加工系統(tǒng)
|
傳統(tǒng)載體檔案,、檔案數(shù)字化成果
|
局域網(wǎng)
|
對各類傳統(tǒng)載體檔案的數(shù)字化處理、數(shù)據(jù)質(zhì)量控制和數(shù)據(jù)統(tǒng)計,、備份,、導(dǎo)出等
|
|
檔案信息服務(wù)系統(tǒng)
|
檔案利用服務(wù)系統(tǒng)
|
通過政務(wù)外網(wǎng)提供的目錄及其數(shù)字檔案信息
|
政務(wù)外網(wǎng)
|
數(shù)據(jù)導(dǎo)入、用戶注冊、權(quán)限管理,、檔案檢索服務(wù),、數(shù)字檔案閱覽服務(wù)及利用檔案審核、利用統(tǒng)計等
|
|
檔案網(wǎng)站系統(tǒng)
|
公開檔案目錄,、全文,,公開政務(wù)信息等
|
因特網(wǎng)
|
用戶注冊、權(quán)限管理,、信息發(fā)布,、統(tǒng)計等,部分系統(tǒng)同時具備政務(wù)信息公開的功能
|
|
檔案辦公系統(tǒng)
|
辦公業(yè)務(wù)系統(tǒng)
|
檔案局館檔案工作管理辦公業(yè)務(wù)
|
局域網(wǎng)
政務(wù)外網(wǎng)
|
公文制發(fā),、文件處理,、工作督查、事務(wù)管理,、會務(wù)管理,、內(nèi)部郵件收發(fā)或其他輔助辦公功能
|
5. 檔案信息系統(tǒng)的定級
5.1檔案信息系統(tǒng)的定級原則
自主定級原則。檔案信息系統(tǒng)使用單位按照國家相關(guān)法規(guī),、標(biāo)準(zhǔn)和本《指南》要求,,自主確定檔案信息系統(tǒng)的安全保護等級,自行組織實施安全保護,。
重點保護原則,。根據(jù)重要程度和業(yè)務(wù)特點,將檔案信息系統(tǒng)劃分為不同等級,,實施不同強度的安全保護,,集中資源,優(yōu)先保護涉及重要數(shù)字檔案資源的信息系統(tǒng),。
動態(tài)保護原則,。根據(jù)檔案信息系統(tǒng)管理對象、服務(wù)范圍等方面的變化,,重新確定安全保護等級,,及時調(diào)整安全保護措施。
同步建設(shè)原則,。檔案信息系統(tǒng)在新建,、改建、擴建時應(yīng)當(dāng)同步規(guī)劃和設(shè)計安全方案,,投入一定比例的資金建設(shè)信息安全設(shè)施,,保障檔案信息安全與檔案信息化建設(shè)相適應(yīng)。
5.2檔案信息系統(tǒng)安全保護等級的劃分
5.2.1受侵害客體
受侵害客體是指受法律保護對象受到破壞時所侵害的社會關(guān)系,,主要包括國家安全,;社會秩序,、公共利益,;公民,、法人和其他社會組織的合法權(quán)益等三方面。
確定檔案信息系統(tǒng)受到破壞后所侵害的客體時,,應(yīng)首先判斷是否侵害國家安全,,然后判斷是否侵害社會秩序、公共利益,,最后判斷是否侵害公民,、法人和其他社會組織的合法權(quán)益。
5.2.2對客體侵害程度的劃分
等級保護對象受到破壞后對客體造成侵害的程度有三種:
?。?)造成一般損害
工作職能受到局部影響,,業(yè)務(wù)能力有所降低但不影響主要功能的執(zhí)行,出現(xiàn)較輕的法律問題,、較小的財產(chǎn)損失,、有限的社會不良影響,對其他組織和個人造成較低損害,。
?。?)造成嚴(yán)重損害
工作職能受到嚴(yán)重影響,業(yè)務(wù)能力顯著下降且嚴(yán)重影響主要功能執(zhí)行,,出現(xiàn)較嚴(yán)重的法律問題,、較大的財產(chǎn)損失、較大范圍的社會不良影響,,對其他組織和個人造成較嚴(yán)重損害,。
(3)造成特別嚴(yán)重損害
工作職能受到特別嚴(yán)重影響或喪失行使能力,,業(yè)務(wù)能力嚴(yán)重下降且或功能無法執(zhí)行,,出現(xiàn)極其嚴(yán)重的法律問題、極大的財產(chǎn)損失,、大范圍的社會不良影響,,對其他組織和個人造成非常嚴(yán)重損害。
5.2.3檔案信息系統(tǒng)安全保護等級
根據(jù)國家有關(guān)信息系統(tǒng)安全保護等級的相關(guān)規(guī)定和標(biāo)準(zhǔn),,從低到高依次劃分為自主保護級,、指導(dǎo)保護級、監(jiān)督保護級,、強制保護級,、專控保護級五個安全等級:
第一級,,自主保護級,。檔案信息系統(tǒng)受到破壞后,,會對公民、法人和其他組織的合法權(quán)益造成損害,,但不損害國家安全,、社會秩序和公共利益。
第二級,,指導(dǎo)保護級,。檔案信息系統(tǒng)受到破壞后,會對公民,、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重損害,,或者對社會秩序和公共利益造成損害,但不損害國家安全,。
第三級,,監(jiān)督保護級。檔案信息系統(tǒng)受到破壞后,,會對社會秩序和公共利益造成嚴(yán)重損害,,或者對國家安全造成損害。
第四級,,強制保護級,。檔案信息系統(tǒng)受到破壞后,會對社會秩序和公共利益造成特別嚴(yán)重損害,,或者對國家安全造成嚴(yán)重損害,。
第五級,??乇Wo級,。檔案信息系統(tǒng)受到破壞后,會對國家安全造成特別嚴(yán)重損害,。
5.3 檔案信息系統(tǒng)安全保護等級確定的方法
檔案信息系統(tǒng)安全保護等級確定的步驟包括:確定定級對象,,確定檔案信息系統(tǒng)受到破壞時受侵害的客體,確定檔案信息系統(tǒng)受到破壞時對客體的侵害程度,,確定檔案信息系統(tǒng)的安全保護等級,,編制定級報告。
5.3.1確定定級對象
根據(jù)本《指南》對檔案信息系統(tǒng)的劃分,,檔案部門對本單位檔案信息系統(tǒng)進行梳理,,確定本單位應(yīng)定級的檔案信息系統(tǒng)。
5.3.2確定受侵害的客體
根據(jù)檔案行業(yè)特點,,分析檔案信息系統(tǒng)受到破壞時所侵害的客體,,侵害的事項主要包括以下三個方面:
(1)國家安全方面,。檔案信息系統(tǒng)受到破壞后影響到有關(guān)國家政治,、經(jīng)濟,、文化、外交,、科技,、民族、宗教,、安全等檔案信息保管,、利用、發(fā)布,、展示的正常進行,進而損害國家政權(quán)穩(wěn)固,、國防建設(shè),、國家統(tǒng)一、民族團結(jié)和社會安定,。
?。?)社會秩序、公共利益方面,。檔案信息系統(tǒng)受到破壞后影響數(shù)字檔案資源的真實性,、完整性和可用性,致使國家機關(guān)政務(wù)信息發(fā)布,、檔案業(yè)務(wù)開展,、辦公等工作無法正常進行,進而侵害社會正常生產(chǎn),、生活秩序和公眾獲取公開信息資源,、使用公共設(shè)施、接受公共服務(wù)等方面的合法權(quán)益,。
?。?)公民、法人和其他組織的合法權(quán)益方面,。檔案信息系統(tǒng)受到破壞后影響到檔案的移交,、接收、管理,、保存,、查閱、利用,、獲取,、公布、展示,、捐贈等工作的正常進行,,進而侵害公民,、法人和其他組織的隱私、知識產(chǎn)權(quán),、物權(quán),、信息獲取等方面的合法權(quán)益。
5.3.3確定對客體的侵害程度
檔案信息系統(tǒng)受到破壞后,,對客體的侵害程度與信息系統(tǒng)所屬單位的行政級別,、所管理信息的重要敏感程度以及信息系統(tǒng)的影響范圍有關(guān)。分別描述如下:
國家級 “數(shù)字檔案管理系統(tǒng)”所管理的檔案記錄了過去和現(xiàn)在的國家政權(quán)的歷史真實面貌,,對國家歷史,、現(xiàn)在與未來具有不可或缺的重要作用,社會影響極大,。這些系統(tǒng)受到破壞,,可能直接造成國家檔案的損失,對國家安全造成一般損害或嚴(yán)重損害,,對社會秩序和公共利益造成特別嚴(yán)重損害,。
省級 “數(shù)字檔案管理系統(tǒng)” 所管理的檔案記錄了過去和現(xiàn)在的省級黨政機構(gòu)的歷史真實面貌,對該地區(qū)歷史,、現(xiàn)在與未來具有不可或缺的重要作用,,社會影響重大。這些系統(tǒng)受到破壞,,可能直接造成該地區(qū)檔案的損失,,對國家安全造成一般損害,對社會秩序和公共利益造成一般損害或嚴(yán)重損害,。
國家級 “檔案目錄管理系統(tǒng)”,、“數(shù)字檔案接收系統(tǒng)”、“檔案利用服務(wù)系統(tǒng)”包含有國家較高級別的敏感信息,,具有很大的社會影響力,。這些系統(tǒng)受到破壞,可能導(dǎo)致敏感檔案信息或政務(wù)信息的泄露或損失,,檔案管理和服務(wù)能力下降,,對國家安全造成一般損害,對社會秩序和公共利益造成一般損害或嚴(yán)重損害,,對公民,、法人和其他組織的合法權(quán)益造成嚴(yán)重損害。
省級 “檔案目錄管理系統(tǒng)”,、“數(shù)字檔案接收系統(tǒng)”,、“檔案利用服務(wù)系統(tǒng)”包含的業(yè)務(wù)信息有一定的區(qū)域性和社會影響力。這些系統(tǒng)受到破壞,,可能造成本地區(qū)敏感檔案數(shù)字資源信息或政務(wù)信息泄露,,檔案管理和服務(wù)能力下降,,對社會秩序和公共利益造成一般損害或嚴(yán)重損害,對公民,、法人和其他組織的合法權(quán)益造成嚴(yán)重損害,。
國家級、省級 “檔案數(shù)字化加工系統(tǒng)”包含有較高級別的敏感信息,,但存儲檔案數(shù)量較少,,這些系統(tǒng)受到破壞,可能導(dǎo)致檔案業(yè)務(wù)能力下降,,給信息系統(tǒng)所屬單位造成一定損失,,對單位權(quán)益造成嚴(yán)重損害。
國家級,、省級 “檔案網(wǎng)站系統(tǒng)”,、“檔案辦公系統(tǒng)”受到破壞,不直接影響檔案管理業(yè)務(wù),,但可能造成公布信息的篡改、辦公效率的下降,,給信息系統(tǒng)所屬單位造成一定的財產(chǎn)損失,、經(jīng)濟糾紛、法律糾紛等,,對單位權(quán)益或社會秩序造成一般損害或嚴(yán)重損害,。
5.3.4確定檔案信息系統(tǒng)的安全保護等級
確定檔案信息系統(tǒng)安全保護等級時需要考慮業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全兩個方面,其中業(yè)務(wù)信息安全是指確保信息系統(tǒng)內(nèi)信息的真實性,、完整性和可用性等,,系統(tǒng)服務(wù)安全是指確保信息系統(tǒng)可以及時、有效地提供服務(wù),。
根據(jù)業(yè)務(wù)信息安全被破壞時所侵害的客體以及對相應(yīng)客體的侵害程度,,可以形成業(yè)務(wù)信息安全保護等級矩陣表(表2),并可據(jù)此得到業(yè)務(wù)信息安全保護等級,。
表2 業(yè)務(wù)信息安全保護等級矩陣表
|
業(yè)務(wù)信息安全被破壞時所侵害的客體
|
對相應(yīng)客體的侵害程度
|
|
一般損害
|
嚴(yán)重損害
|
特別嚴(yán)重損害
|
|
公民,、法人和其他組織的合法權(quán)益
|
第一級
|
第二級
|
第二級
|
|
社會秩序、公共利益
|
第二級
|
第三級
|
第四級
|
|
國家安全
|
第三級
|
第四級
|
第五級
|
根據(jù)系統(tǒng)服務(wù)安全被破壞時所侵害的客體以及對相應(yīng)客體的侵害程度,,可以形成系統(tǒng)服務(wù)安全保護等級矩陣表(表3),,并可據(jù)此得到系統(tǒng)服務(wù)安全保護等級。
表3 系統(tǒng)服務(wù)安全保護等級矩陣表
|
系統(tǒng)服務(wù)安全被破壞時所侵害的客體
|
對相應(yīng)客體的侵害程度
|
|
一般損害
|
嚴(yán)重損害
|
特別嚴(yán)重損害
|
|
公民,、法人和其他組織的合法權(quán)益
|
第一級
|
第二級
|
第二級
|
|
社會秩序,、公共利益
|
第二級
|
第三級
|
第四級
|
|
國家安全
|
第三級
|
第四級
|
第五級
|
在確定檔案信息系統(tǒng)的安全保護等級時,應(yīng)按業(yè)務(wù)信息安全保護等級和系統(tǒng)服務(wù)安全保護等級的較高者定級,。
確定檔案信息系統(tǒng)安全保護等級,,應(yīng)在綜合分析檔案信息系統(tǒng)業(yè)務(wù)信息安全保護等級和系統(tǒng)服務(wù)安全保護等級基礎(chǔ)上,,主要通過考察所管理檔案信息的重要程度和敏感程度來確定。但是,,重要和敏感信息的數(shù)量與檔案信息系統(tǒng)所屬單位的行政級別存在一定關(guān)系,,一般來說,高行政級別單位的重要和敏感信息要多于低行政級別單位的重要和敏感信息,。為便于操作執(zhí)行,,對檔案目錄管理系統(tǒng)、數(shù)字檔案接收系統(tǒng),、數(shù)字檔案管理系統(tǒng),、檔案數(shù)字化加工系統(tǒng)、檔案利用服務(wù)系統(tǒng),、檔案網(wǎng)站系統(tǒng),、辦公業(yè)務(wù)系統(tǒng)等七種常用檔案信息系統(tǒng)安全保護等級建議如下:
表4 檔案信息系統(tǒng)安全保護等級定級建議表
|
系統(tǒng)類別
|
系統(tǒng)名稱
|
行政級別
|
建議等級
|
|
檔案信息管理系統(tǒng)
|
檔案目錄管理系統(tǒng)
|
國家級
|
3或2
|
|
省級
|
3或2
|
|
數(shù)字檔案接收系統(tǒng)
|
國家級
|
3或2
|
|
省級
|
3或2
|
|
數(shù)字檔案管理系統(tǒng)
|
國家級
|
4或3
|
|
省級
|
3或2
|
|
檔案數(shù)字化加工系統(tǒng)
|
國家級
|
2
|
|
省級
|
2
|
|
檔案信息服務(wù)系統(tǒng)
|
檔案利用服務(wù)系統(tǒng)
|
國家級
|
3或2
|
|
省級
|
3或2
|
|
檔案網(wǎng)站系統(tǒng)
|
國家級
|
3或2
|
|
省級
|
2
|
|
檔案辦公系統(tǒng)
|
辦公業(yè)務(wù)系統(tǒng)
|
國家級
|
2
|
|
省級
|
2
|
檔案部門根據(jù)本單位檔案信息系統(tǒng)業(yè)務(wù)功能,參照本《指南》進行定級,。承載復(fù)雜業(yè)務(wù)和功能的檔案信息系統(tǒng)安全等級可高于建議等級,,承載多個業(yè)務(wù)功能的檔案信息系統(tǒng),應(yīng)以其中最高安全等級進行定級,。未在表4中列出的檔案信息系統(tǒng),,可根據(jù)其承載的業(yè)務(wù)功能,參照本《指南》定級,。
5.3.5編制定級報告
初步確定定級對象的安全保護等級后,,檔案信息系統(tǒng)使用單位應(yīng)編制定級報告(見附件 1)。
跨地區(qū)的檔案信息系統(tǒng)由該系統(tǒng)的主管部門統(tǒng)一確定安全保護等級,。
6.評審
對檔案信息系統(tǒng)擬確定為第二級的,,由使用單位自行組織信息安全保護等級專家組進行評審;對檔案信息系統(tǒng)擬確定為第三級的,,由使用單位請上一級檔案行政管理部門組織信息安全保護等級專家組進行評審,;對檔案信息系統(tǒng)擬確定為第四級及以上的,由使用單位或上一級檔案行政管理部門請國家信息安全保護等級專家評審委員會評審,。使用單位參照評審意見確定檔案信息系統(tǒng)安全保護等
級,,完成定級報告。當(dāng)專家評審意見與檔案信息系統(tǒng)使用單位意見不一致時,,由使用單位自主決定檔案信息系統(tǒng)安全保護等級,。
7.備案與報備
第二級及以上檔案信息系統(tǒng)在安全保護等級確定后30日內(nèi),由使用單位按規(guī)定到所在地的同級公安機關(guān)辦理備案手續(xù),。
備案時應(yīng)當(dāng)提交《信息系統(tǒng)安全等級保護備案表》(一式兩份,,見附件2)及其電子文檔。第二級及以上檔案信息系統(tǒng)備案時需提交《信息系統(tǒng)安全等級保護備案表》中的表一、二,、三,。
檔案信息系統(tǒng)安全保護等級備案完成后,使用單位應(yīng)該向上一級檔案行政管理部門報備定級情況,,并附《信息系統(tǒng)安全等級保護定級報告》副本及公安部門出具的《信息安全等級保護備案證明》副本,。
8.等級變更
在檔案信息系統(tǒng)的運行過程中,信息系統(tǒng)安全保護等級應(yīng)隨著信息系統(tǒng)所處理的信息和業(yè)務(wù)狀態(tài)的變化進行適當(dāng)?shù)淖兏?。?dāng)狀態(tài)變化可能導(dǎo)致業(yè)務(wù)信息安全或系統(tǒng)服務(wù)安全受到破壞,,并且受侵害客體和對客體的侵害程度有較大的變化時,應(yīng)由信息系統(tǒng)使用單位負責(zé)進行系統(tǒng)重新定級,。重新定級后,,應(yīng)按要求向公安機關(guān)重新備案,并完成向上一級檔案行政管理部門的報備工作,。
附件 1
《信息系統(tǒng)安全等級保護定級報告》
一,、XXX信息系統(tǒng)描述
簡述確定該系統(tǒng)為定級對象的理由。從三方面進行說明:一是描述承擔(dān)信息系統(tǒng)安全責(zé)任的相關(guān)單位或部門,,說明本單位或部門對信息系統(tǒng)具有信息安全保護責(zé)任,,該信息系統(tǒng)為本單位或部門的定級對象;二是該定級對象是否具有信息系統(tǒng)的基本要素,,描述基本要素,、系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)、系統(tǒng)邊界和邊界設(shè)備,;三是該定級對象是否承載著單一或相對獨立的業(yè)務(wù),業(yè)務(wù)情況描述,。
二,、XXX 信息系統(tǒng)安全保護等級確定
(一)業(yè)務(wù)信息安全保護等級的確定
1.業(yè)務(wù)信息描述
描述信息系統(tǒng)處理的主要業(yè)務(wù)信息等,。
2.業(yè)務(wù)信息受到破壞時所侵害客體的確定
說明信息受到破壞時侵害的客體是什么,,即對三個客體(國家安全;社會秩序和公眾利益,;公民,、法人和其他組織的合法權(quán)益)中的哪些客體造成侵害。
3.信息受到破壞后對侵害客體的侵害程度的確定
說明信息受到破壞后,,會對侵害客體造成什么程度的侵害,,即說明是一般損害、嚴(yán)重損害還是特別嚴(yán)重損害,。
4.業(yè)務(wù)信息安全等級的確定
依據(jù)信息受到破壞時所侵害的客體以及侵害程度,,確定業(yè)務(wù)信息安全等級。
?。ǘ┫到y(tǒng)服務(wù)安全保護等級的確定
1.系統(tǒng)服務(wù)描述
描述信息系統(tǒng)的服務(wù)范圍,、服務(wù)對象等,。
2.系統(tǒng)服務(wù)受到破壞時所侵害客體的確定
說明系統(tǒng)服務(wù)受到破壞時侵害的客體是什么,即對三個客體(國家安全,;社會秩序和公眾利益,;公民、法人和其他組織的合法權(quán)益)中的哪些客體造成侵害,。
3.系統(tǒng)服務(wù)受到破壞后對侵害客體的侵害程度的確定
說明系統(tǒng)服務(wù)受到破壞后,,會對侵害客體造成什么程度的侵害,即說明是一般損害,、嚴(yán)重損害還是特別嚴(yán)重損害,。
4.系統(tǒng)服務(wù)安全等級的確定
依據(jù)系統(tǒng)服務(wù)受到破壞時所侵害的客體以及侵害程度確定系統(tǒng)服務(wù)安全等級。
?。ㄈ┌踩Wo等級的確定
信息系統(tǒng)的安全保護等級由業(yè)務(wù)信息安全等級和系統(tǒng)服務(wù)安全等級較高者決定,,最終確定 XXX 系統(tǒng)安全保護等級為第幾級。
|
信息系統(tǒng)名稱
|
安全保護等級
|
業(yè)務(wù)信息安全等級
|
系統(tǒng)服務(wù)安全等級
|
|
XXX信息系統(tǒng)
|
X
|
X
|
X
|
附件 2
信息系統(tǒng)安全等級保護
備案表
備 案 單 位:
備 案 日 期:
受理備案單位: (蓋章)
受 理 日 期:
中華人民共和國公安部監(jiān)制
填 表 說 明
一,、 制表依據(jù),。根據(jù)《信息安全等級保護管理辦法》(公通字〔2007〕43號)之規(guī)定,制作本表,;
二,、 填表范圍。 本 表由第二級以上信息系統(tǒng)運營使用單位或主管部門(以下簡稱“備案單位”)填寫,;本表由四張表單構(gòu)成,,表一為單位信息,每個填表單位填寫一張,;表二為信 息 系統(tǒng)基本信息,,表三為信息系統(tǒng)定級信息,表二,、表三每個信息系統(tǒng)填寫一張,;表四為第三級以上信息系統(tǒng)需要同時提交的內(nèi)容,由每個第三級以上信息系統(tǒng)填 寫一 張,,并在完成系統(tǒng)建設(shè),、整改、測評等工作,,投入運行后三十日內(nèi)向受理備案公安機關(guān)提交,;表二、表三,、表四可以復(fù)印使用,;
三、 保存方式。本表一式二份,,一份由備案單位保存,,一份由受理備案公安機關(guān)存檔;
四,、 本表中有選擇的地方請在選項左側(cè)“0”劃“√”,,如選擇“其他”,請在其后的橫線中注明詳細內(nèi)容,;
五,、 封面中備案表編號(由受理備案的公安機關(guān)填寫并校驗):分兩部分共11位,第一部分6位,,為受理備案公安機關(guān)代碼前六位(可參照 行標(biāo)GA380-2002),。第二部分5位,為受理備案的公安機關(guān)給出的備案單位的順序編號,;
六,、 封面中備案單位:是指負責(zé)運營使用信息系統(tǒng)的法人單位全稱;
七,、 封面中受理備案單位:是指受理備案的公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門名稱,。此項由受理備案的公安機關(guān)負責(zé)填寫并蓋章;
八,、 表一04行政區(qū)劃代碼:是指備案單位所在的地(區(qū),、市、州,、盟)行政區(qū)劃代碼,;
九、 表一05單位負責(zé)人:是指主管本單位信息安全工作的領(lǐng)導(dǎo),;
十,、 表一06責(zé)任部門:是指單位內(nèi)負責(zé)信息系統(tǒng)安全工作的部門;
十一,、 表一08隸屬關(guān)系:是指信息系統(tǒng)運營使用單位與上級行政機構(gòu)的從屬關(guān)系,須按照單位隸屬關(guān)系代碼(GB/T12404―1997)填寫,;
十二,、 表二02系統(tǒng)編號:是由運營使用單位給出的本單位備案信息系統(tǒng)的編號;
十三,、 表二05系統(tǒng)網(wǎng)絡(luò)平臺:是指系統(tǒng)所處的網(wǎng)絡(luò)環(huán)境和網(wǎng)絡(luò)構(gòu)架情況,;
十四、 表二07關(guān)鍵產(chǎn)品使用情況:國產(chǎn)品是指系統(tǒng)中該類產(chǎn)品的研制,、生產(chǎn)單位是由中國公民,、法人投資或者國家投資或者控股,在中華人民共和國境內(nèi)具有獨立的法人資格,產(chǎn)品的核心技術(shù),、關(guān)鍵部件具有我國自主知識產(chǎn)權(quán),;
十五、 表二08系統(tǒng)采用服務(wù)情況:國內(nèi)服務(wù)商是指服務(wù)機構(gòu)在中華人民共和國境內(nèi)注冊成立(港澳臺地區(qū)除外),,由中國公民,、法人或國家投資的企事業(yè)單位;
十六,、 表三01,、02、03項:填寫上述三項內(nèi)容,,確定信息系統(tǒng)安全保護等級時可參考《信息系統(tǒng)安全等級保護定級指南》,,信息系統(tǒng)安全保護等級由業(yè)務(wù)信息安全等級和系統(tǒng)服務(wù)安全等級較高者決定。01,、02項中每一個確定的級別所對應(yīng)的損害客體及損害程度可多選,;
十七、 表三06主管部門:是指對備案單位信息系統(tǒng)負領(lǐng)導(dǎo)責(zé)任的行政或業(yè)務(wù)主管單位或部門,。部級單位此項可不填,;
十八、 解釋:本表由公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局監(jiān)制并負責(zé)解釋,,未經(jīng)允許,,任何單位和個人不得對本表進行改動。
表一 單位基本情況
|
01 單位名稱
|
|
|
02 單位地址
|
|
|
03 郵政編碼
|
|
|
|
|
|
|
|
04 行政區(qū)劃代碼
|
|
|
|
|
|
|
|
|
05 單位
負責(zé)人
|
姓 名
|
|
職務(wù)/職稱
|
|
|
辦公電話
|
|
電子郵件
|
|
|
06 責(zé)任部門
|
|
|
07 責(zé)任部門
聯(lián)系人
|
姓 名
|
|
職務(wù)/職稱
|
|
|
辦公電話
|
|
電子郵件
|
|
|
移動電話
|
|
|
08 隸屬關(guān)系
|
01中央 02省(自治區(qū),、直轄市) 03地(區(qū),、市、州,、盟)
04縣(區(qū),、市、旗) 09其他
|
|
09 單位類型
|
01黨委機關(guān) 02政府機關(guān) 03事業(yè)單位 04企業(yè) 09其他
|
|
10 行業(yè)類別
|
011電信 012廣電 013經(jīng)營性公眾因特網(wǎng)
021鐵路 022銀行 023海關(guān) 024稅務(wù)
025民航 026電力 027證券 028保險
031國防科技工業(yè) 032公安 033人事勞動和社會保障 034財政
035審計 036商業(yè)貿(mào)易 037國土資源 038能源
039交通 040統(tǒng)計 041工商行政管理 042郵政
043教育 044文化 045衛(wèi)生 046農(nóng)業(yè)
047水利 048外交 049發(fā)展改革 050科技
051宣傳 052質(zhì)量監(jiān)督檢驗檢疫 099其他
|
|
11 信息系統(tǒng)
總數(shù)
|
個
|
12 第二級信息系統(tǒng)數(shù)
|
個
|
13 第三級信息系統(tǒng)數(shù)
|
個
|
|
14 第四級信息系統(tǒng)數(shù)
|
個
|
15 第五級信息系統(tǒng)數(shù)
|
個
|
表二 信息系統(tǒng)情況
|
01 系統(tǒng)名稱
|
|
02 系統(tǒng)編號
|
|
|
|
|
|
03 系統(tǒng)
承載
業(yè)務(wù)
情況
|
業(yè)務(wù)類型
|
01生產(chǎn)作業(yè) 02指揮調(diào)度 03管理控制 04內(nèi)部辦公
005公眾服務(wù) 09其他
|
|
業(yè)務(wù)描述
|
|
|
04 系統(tǒng)
服務(wù)
情況
|
服務(wù)范圍
|
010全國 011跨?。▍^(qū),、市) 跨 個
020全省(區(qū),、市) 021跨地(市,、區(qū)) 跨 個
030地(市、區(qū))內(nèi)
099其他
|
|
服務(wù)對象
|
01單位內(nèi)部人員 02社會公眾人員 03兩者均包括 09其他
|
|
05 系統(tǒng)
網(wǎng)絡(luò)
平臺
|
覆蓋范圍
|
01局域網(wǎng) 02城域網(wǎng) 03廣域網(wǎng) 09其他
|
|
網(wǎng)絡(luò)性質(zhì)
|
01業(yè)務(wù)專網(wǎng) 02因特網(wǎng) 09其他
|
|
06 系統(tǒng)互聯(lián)情況
|
01與其他行業(yè)系統(tǒng)連接 02與本行業(yè)其他單位系統(tǒng)連接
03與本單位其他系統(tǒng)連接 09其他
|
|
07 關(guān)鍵產(chǎn)品使用情況
|
序號
|
產(chǎn)品類型
|
數(shù)量
|
使用國產(chǎn)品率
|
|
全部使用
|
全部未使用
|
部分使用及使用率
|
|
1
|
安全專用產(chǎn)品
|
|
0
|
0
|
0%
|
|
2
|
網(wǎng)絡(luò)產(chǎn)品
|
|
0
|
0
|
0%
|
|
3
|
操作系統(tǒng)
|
|
0
|
0
|
0%
|
|
4
|
數(shù)據(jù)庫
|
|
0
|
0
|
0%
|
|
5
|
服務(wù)器
|
|
0
|
0
|
0%
|
|
6
|
其他
|
|
0
|
0
|
0%
|
|
08 系統(tǒng)采用服務(wù)情況
|
序號
|
服務(wù)類型
|
服務(wù)責(zé)任方類型
|
|
本行業(yè)(單位)
|
國內(nèi)其他服務(wù)商
|
國外服務(wù)商
|
|
1
|
等級測評
|
0有0無
|
0
|
0
|
0
|
|
2
|
風(fēng)險評估
|
0有0無
|
0
|
0
|
0
|
|
3
|
災(zāi)難恢復(fù)
|
0有0無
|
0
|
0
|
0
|
|
4
|
應(yīng)急響應(yīng)
|
0有0無
|
0
|
0
|
0
|
|
5
|
系統(tǒng)集成
|
0有0無
|
0
|
0
|
0
|
|
6
|
安全咨詢
|
0有0無
|
0
|
0
|
0
|
|
7
|
安全培訓(xùn)
|
0有0無
|
0
|
0
|
0
|
|
8
|
其他
|
0
|
0
|
0
|
|
09 等級測評單位名稱
|
|
|
10 何時投入運行使用
|
|
|
11 系統(tǒng)是否是分系統(tǒng)
|
0是 0否(如選擇是請?zhí)钕聝身棧?/span>
|
|
12 上級系統(tǒng)名稱
|
|
|
13 上級系統(tǒng)所屬單位名稱
|
|
表三 信息系統(tǒng)定級情況
|
01 確定
業(yè)務(wù)
信息
安全
保護
等級
|
損害客體及損害程度
|
級別
|
|
0僅對公民,、法人和其他組織的合法權(quán)益造成損害
|
0第一級
|
|
0對公民,、法人和其他組織的合法權(quán)益造成嚴(yán)重損害
0對社會秩序和公共利益造成損害
|
0第二級
|
|
0對社會秩序和公共利益造成嚴(yán)重損害
0對國家安全造成損害
|
0第三級
|
|
0對社會秩序和公共利益造成特別嚴(yán)重損害
0對國家安全造成嚴(yán)重損害
|
0第四級
|
|
0對國家安全造成特別嚴(yán)重損害
|
0第五級
|
|
02 確定
系統(tǒng)
服務(wù)
安全
保護
等級
|
0僅對公民、法人和其他組織的合法權(quán)益造成損害
|
0第一級
|
|
0對公民,、法人和其他組織的合法權(quán)益造成嚴(yán)重損害
0對社會秩序和公共利益造成損害
|
0第二級
|
|
0對社會秩序和公共利益造成嚴(yán)重損害
0對國家安全造成損害
|
0第三級
|
|
0對社會秩序和公共利益造成特別嚴(yán)重損害
0對國家安全造成嚴(yán)重損害
|
0第四級
|
|
0對國家安全造成特別嚴(yán)重損害
|
0第五級
|
|
03 信息系統(tǒng)安全保護等級
|
0第一級 0第二級 0第三級 0第四級 0第五級
|
|
04 定級時間
|
|
|
05 專家評審情況
|
0已評審 0未評審
|
|
06 是否有主管部門
|
0有 0無(如選擇有請填下兩項)
|
|
07 主管部門名稱
|
|
|
08 主管部門審批定級情況
|
0已審批 0未審批
|
|
09 系統(tǒng)定級報告
|
0有 0無 附件名稱
|
|
填表人:
|
填表日期: 年 月 日
|
備案審核民警:
